Ingeniería social
“la práctica de obtener información confidencial a través de la manipulación”
Básicamente un chico cyber-malo podría generar un correo electrónico muy atractivo, serio y por lo tanto engañoso, con la única finalidad de robarte datos y con tus datos hacer daño, robos, fraudes o chantajes a ti o a otra persona o institución.
Recuerdo en un foro de seguridad de nuestros amigos de KASPERSKY, comentaban que si para nosotros lo mas valioso es la información, entonces porque no la cuidábamos? Olvidamos actualizar el antivirus, ponemos contraseñas pobres, y no respaldamos. De hecho se me quedo un ejemplo “curioso” donde un expositor menciona: “nuestras contraseñas deben ser como nuestra ropa interior… cada cuando te cambias los calzones?” basados en ello. Cada cuando cambias tus passwords o…. a quien le prestas tu ropa interior para que la use? También pasa con tus contraseñas no?
Luego del momento de reflexión sigamos viendo datos interesantes:
En cualquier sistema “los usuarios son el eslabón débil” todo radica en tus hábitos, en el tipo de “confianza” que le tengas a la gente que te rodea. El ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas “cadenas”, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas.
Los ingenieros sociales (o delincuentes cibernéticos) aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, cuantas veces no nos llaman al teléfono diciéndonos que son empleados de tal banco, compañía de teléfono y demás, nos dan algunos datos nuestros y ya con eso les creemos. Sin sonar paranoico, qué tal si alguien toma un ticket que tire a la basura? el cual lleva mi nombre, y ese “alguien” llama diciendo mi nombre , que es empleado de la tienda y que Sali ganador de un sorteo por comprar su producto tal fecha y tal producto, (claro tiene esa información porque tiene el ticket en la mano, el cual tire al bote sin darle importancia) y asi, viola la barrera y tendrá acceso a lo que nos pregunte, sea o no comprometedor para luego cometer un crimen… digo, se me ocurre.
Así pues de instituciones bancarias para ir mas directo al grano y hurtar nuestros valores.
“crear una cuenta”, “reactivar una configuración”, u otra operación benigna, incluso cambio de contraseña para “evitar un ataque” como ya vimos aquí en el documento que amablemente escribió Daniel sobre PHISHING…
Y SE DAN CASOS EH? El 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato… que tal?
Otro famoso ejemplo es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos “íntimas” de alguna persona famosa o algún programa “gratis” (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (del cual también ya hemos hablado…)
Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque… (flojera? Vino de una “persona conocida”? es tan solo un pps? Son solo fotos?) esas no son excusas, puedes enviar desde Outlook correos de la dirección que quieras, así que si el correo de tu novia es [email protected] yo en este momento te enviaría usando Outlook un correo de esa dirección y segurito lo abres. Y tu novia ni por enterada. (Imagina si utilizo una herramienta poderosa especializada en ataques cibernéticos…)
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick (soy su fan). Según su opinión, la ingeniería social se basa en estos cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.
Kevin ha sido el mejor hacker de las décadas, busquen sobre el, ahora es consultor de seguridad cibernética. (y gana muy bien)
Entonces… para ti que tan valiosa es tu información?
Recuerdas bajar ringtones con solo pulsar aquí?
Que tal emoticones para tu mensajería? (qué lindas caritas… y se mueven!)
Ya viste estas fotos para tu móvil?
Soy nigeriano millonario y necesito sacar mi dinero del país, solo aporta los “gastos de transferencia” y te lo paso a tu cuenta….
La lista es larga…. Te dejo unas citas:
La mejor fuente de información son las personas que han prometido no contárselo a otros.
(Marcel Mart)
La información de hoy es el arma del mañana.
(Anónimo)
Quien tiene la información tiene el poder.
(Anónimo)
Internet facilita la información adecuada, en el momento adecuado, para el propósito adecuado.
(Bill Gates)
La información es el arma más sofisticada.
– Luis de Vega
Todos son vulnerables. Lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia.
Kevin Mitnick
“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”
— Kevin Mitnick
Deja un comentario